本刊記者 | 于光媚

攜程曝“漏洞門”快捷支付隱憂再現(xiàn)

本刊記者 | 于光媚

攜程信用卡漏洞事件引起了公眾對互聯(lián)網(wǎng)信息安全的恐慌，而此次事件其實只是冰山一角。

近期鬧得沸沸揚揚的“漏洞門”風(fēng)波，讓攜程一時成為眾矢之的，尤其事關(guān)“荷包”，更是不斷挑動著公眾的敏感神經(jīng)。頻頻發(fā)生的信息泄露事件，讓以便捷著稱的互聯(lián)網(wǎng)支付深陷危機(jī)，誰來保護(hù)消費者的信息安全？誰又將成為下一個火藥桶？

3月22日晚，一個編號為54302的漏洞報告被曝光在互聯(lián)網(wǎng)安全問題反饋平臺烏云上，發(fā)布者是烏云的核心白帽子黑客“豬豬俠”。報告稱，攜程安全支付日志可下載，導(dǎo)致用戶銀行卡信息泄露(包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Pin)。此外，攜程還被曝出某分站的源代碼包可以直接下載。

事件發(fā)生兩小時后，攜程方面做出了相關(guān)回應(yīng)：“攜程的技術(shù)開發(fā)人員之前是為了排查系統(tǒng)疑問，留下了臨時日志，因疏忽未及時刪除，目前，這些信息已被全部刪除?！睌y程還透露，經(jīng)過排查，僅漏洞發(fā)現(xiàn)人做了測試下載，沒有出現(xiàn)惡意下載有關(guān)數(shù)據(jù)的情況，內(nèi)容含有極少量加密卡號信息，共涉及93名存在潛在風(fēng)險的攜程用戶。

“攜程客服已于3月23日通知這些用戶更換信用卡，截至3月23日22：00，沒有接到攜程客服換卡通知的用戶，個人信息均是安全的，無需擔(dān)心?！睌y程強調(diào)。隨后，攜程又在其官方微博上發(fā)布了道歉聲明，并稱未來如果因安全漏洞引起用戶損失，攜程將承擔(dān)全部責(zé)任并給予賠付。

擦邊球“擦”過了火

然而，攜程的回應(yīng)并未打消用戶的顧慮，同時隨著更多信息的披露，攜程更多的問題被曝光出來。瑞星安全專家唐威指出，攜程在此次事件中犯的一個重要錯誤就是，擅自保存用戶信用卡CVV碼等信息，這明顯違反了中國人民銀行頒發(fā)的《銀行卡收單業(yè)務(wù)管理辦法》。

CVV碼又叫用戶識別碼，是位于信用卡號后的3位數(shù)字，是銀行卡進(jìn)行非面對面交易時用于確認(rèn)用戶身份的識別碼，作用類似于密碼。根據(jù)中國人民銀行《銀行卡收單業(yè)務(wù)管理辦法》第28條規(guī)定，收單機(jī)構(gòu)不得以任何方式存儲銀行卡磁道信息或芯片信息、卡片驗證碼、卡片有效期、個人標(biāo)識碼等敏感信息。并應(yīng)采取有效措施防止特約商戶和外包服務(wù)機(jī)構(gòu)存儲銀行卡敏感信息。

“完成信用卡快捷支付流程，只需輸入持卡人姓名、身份證號、信用卡卡號、CVV碼即宣布交易成功，根本無需輸入信用卡密碼。”唐威說，這些是用戶在交易過程中輸入的，進(jìn)行信用卡驗證后就要刪除的信息。而攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶的支付記錄用文本保存了下來。

其實這種無卡無密碼便可支付的信用卡支付并不少見，諸如同程網(wǎng)、藝龍網(wǎng)、芒果網(wǎng)等OTA（在線旅游企業(yè)）網(wǎng)站，使用信用卡支付時同樣只需要卡號、有效期和CVV碼即可。“攜程們”這么做是效仿國外信用卡支付方式，簡化支付流程。攜程技術(shù)人士回應(yīng)，“整個支付系統(tǒng)是漏斗結(jié)構(gòu)，多一個步驟就會流失一部分客戶。保存信息就是為提高轉(zhuǎn)換率，增加便捷度。所有的快捷支付都如此。”但是這一做法在國內(nèi)顯然有打“擦邊球”的嫌疑, 只不過這次攜程由于自身對于數(shù)據(jù)安全較為大意，成了“倒霉蛋”。

此后，攜程方面承認(rèn)了違規(guī)存儲CVV碼一事，表示“我們將在交易完成后刪除客戶的CVV信息，不再保存。以前保存的那些CVV信息，正在予以刪除?？蛻粜庞每ㄐ畔⒌膫鬏敽捅４媸冀K處于加密狀態(tài)，任何未經(jīng)授權(quán)的人員都無法取得這些資料?！?/p>

誰來保護(hù)用戶信息安全

雖然目前看來，此次事件并未產(chǎn)生嚴(yán)重財產(chǎn)損失，但這場波及全國的信用卡信息泄露風(fēng)波仍然讓用戶心有余悸。據(jù)悉，與攜程合作的中國銀行、中國工商銀行、招商銀行等十多家銀行，在事件發(fā)生后客服電話幾乎被打爆，咨詢的業(yè)務(wù)基本均為緊急換卡或取消捆綁。

所幸這次發(fā)現(xiàn)攜程安全漏洞的是白帽子黑客，這類黑客一般會在發(fā)現(xiàn)漏洞后立即向相關(guān)公司發(fā)出警報，在公司修補好漏洞后再向公眾發(fā)布。若被惡意黑客發(fā)現(xiàn)這一漏洞，那影響絕不止于此了。

攜程信用卡漏洞事件引起了公眾對互聯(lián)網(wǎng)信息安全的恐慌，而此次事件其實只是冰山一角。近年來有關(guān)信息泄露事件頻頻發(fā)生，2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。2013年10月，如家、七天等連鎖酒店被網(wǎng)曝有多達(dá)2000萬條客戶開房信息遭泄露。此外，還有關(guān)于隱私泄露最出名的美國棱鏡門事件等。

根據(jù)中國電子商務(wù)研究中心發(fā)布的《2013年中國網(wǎng)民信息安全狀況研究報告》顯示，74.1%的網(wǎng)民在過去半年時間內(nèi)遇到過信息安全問題，總?cè)藬?shù)達(dá)4.38億，全國因信息安全事件而造成的個人經(jīng)濟(jì)損失達(dá)到了196.3億元；因網(wǎng)上購物遇到過安全問題的網(wǎng)民達(dá)2010.6萬人，其中因網(wǎng)購遭遇個人信息泄露和賬號密碼被盜分別為42.9%、23.8%；電腦網(wǎng)絡(luò)支付時，資金被盜、被騙和賬號密碼被盜的比例達(dá)32.1%。

人們在使用互聯(lián)網(wǎng)時多少會讓渡部分隱私權(quán)，但作為普通用戶要靠自己的力量規(guī)避安全風(fēng)險還是有點難度，根本不清楚使用的相應(yīng)軟件到底哪些安全、哪些有“后門”。然而并不完全可靠的監(jiān)管防護(hù)，層出不窮的技術(shù)層和管理層的安全漏洞，以及無孔不入的黑客攻擊，無一不在考驗著網(wǎng)絡(luò)支付的安全能力。

尤其移動互聯(lián)網(wǎng)的迅速發(fā)展，用戶的個人信息、銀行信息等相關(guān)數(shù)據(jù)與互聯(lián)網(wǎng)應(yīng)用綁定的越來越緊密，隨之而來的安全風(fēng)險和威脅也越來越大。而商家為了提升用戶體驗和消費便捷度，往往對安全問題意識淡薄且心存僥幸。如何在方便和安全之間找到平衡，成為用戶和商家都應(yīng)思考的問題。

此次快捷支付的漏洞問題其實也映射出整個互聯(lián)網(wǎng)金融的安全隱憂，隨著互聯(lián)網(wǎng)企業(yè)與金融業(yè)聯(lián)系日益緊密，以大數(shù)據(jù)為依托的互聯(lián)網(wǎng)金融該如何維護(hù)數(shù)據(jù)的安全與穩(wěn)定，風(fēng)頭正勁的互聯(lián)網(wǎng)金融是否會成為下一個“攜程”？